MY FOOD COACH AND ME VERWERKINGSVOORWAARDEN

MY FOOD COACH AND ME VERWERKINGSVOORWAARDEN

Deze verwerkingsvoorwaarden gaan uit van INFODI BV, met maatschappelijke zetel te Xxxxxxxxxx 00, 0000 Xxxxxxx (Xxxxxx), BTW/ondernemingsnummer BE0441822627, RPR Gent (afdeling Dendermonde), verder genoemd ‘INFODI’ (of ‘verwerker’) en gelden ten aanzien van iedere partij die een licentieovereenkomst met betrekking tot het e-coachingplatform ‘My Food Coach and Me’ heeft afgesloten, verder genoemd de ‘klant’ (of ‘verwerkingsverantwoordelijke’);

INFODI en de klant worden elk afzonderlijk een ‘partij’ genoemd en samen de ‘partijen’.

Verwerkingsvoorwaarden:

Artikel 1: Terminologie

De terminologie gebruikt in deze verwerkingsvoorwaarden dient geïnterpreteerd te worden overeenkomstig de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (verder ‘Algemene Verordening Gegevensbescherming’).

Artikel 2: Voorwerp

Aan INFODI, de licentiegever, worden persoonsgegevens van betrokkenen overgemaakt ter verwerking, minstens zal INFODI deze verkrijgen ter verwerking. Deze verwerkingsvoorwaarden zijn van toepassing op iedere verwerking door INFODI in het kader van de licentieovereenkomst.

Overeenkomstig de schriftelijke instructies van de verwerkingsverantwoordelijke en de bepalingen van deze voorwaarden, zal de verwerker ten behoeve van de verwerkingsverantwoordelijke enkel persoonsgegevens verwerken die overeenkomstig de afgesloten licentieovereenkomst aan de verwerker worden overgemaakt ter verwerking of verwerker verkrijgt ter verwerking in overeenstemming met de vooropgestelde doeleinden, tenzij een wettelijke bepaling haar tot verwerking zou verplichten. In dit laatste geval zal de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis stellen van dat wettelijk voorschrift, tenzij de wetgeving deze kennisgeving omwille van gewichtige redenen van algemeen belang verbiedt.

Het betreft met name de verwerking van de volgende persoonsgegevens:

• naam

• geslacht

• geboortedatum

• adres

• contactgegevens

• elektronische identificatiegegevens (IP adressen, cookies etc)

• gegevens over gezondheid zoals gewicht, lichaamssamenstelling. medicatie, ziektes, ...

Verwerker heeft geen zicht op de gegevens die verwerkingsverantwoordelijke deelt vanuit het platform met zijn klanten, met name in e-coaching berichten, documenten, foto’s, video’s, ..., waardoor deze dus geen deel uitmaken van deze verwerkingsvoorwaarden en verwerker dus ook niet aansprakelijk kan gesteld worden voor inbreuken op de privacy-wetgeving met betrekking tot deze gedeelde gegevens.

Artikel 3: Aard en doel van de verwerking

Verwerker zal de persoonsgegevens enkel verwerken in het kader van de licentieovereenkomst en doeleinden die daar redelijkerwijs mee samenhangen of die met nadere instemming van de verwerkingsverantwoordelijke worden bepaald.

Enkel de persoonsgegevens die noodzakelijk zijn voor deze doeleinden mogen door de verwerker worden verwerkt.

Verwerkingsverantwoordelijke zal verwerker onverwijld in kennis stellen wanneer de persoonsgegevens onjuist zijn teneinde deze te laten wissen dan wel te rectificeren.

Artikel 4: Naleving van de toepasselijke privacywetgeving

Partijen verbinden er zich principieel en uitdrukkelijk toe om de wettelijke bepalingen van de toepasselijke privacywetgeving en regelgeving (op heden de Algemene Verordening Gegevensbescherming) na te leven.

Verwerkingsverantwoordelijke garandeert dat zijn instructies aan verwerker, die leiden tot de verwerking van persoonsgegevens door verwerker, in overeenstemming zullen zijn met de bepalingen van de wettelijke bepalingen en regelgeving.

De verwerker zal zo nodig een register bijhouden van alle persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke en dit overeenkomstig de toepasselijke bepalingen van de privacywetgeving.

Artikel 5: Geheimhouding

De persoonsgegevens mogen door de verwerker enkel worden verwerkt voor de doeleinden omschreven in artikel 3 van deze verwerkingsvoorwaarden. Verwerker zal er zich toe inspannen dat de persoonsgegevens niet ter beschikking komen van derden, tenzij dit noodzakelijk is voor de uitvoering van de licentieovereenkomst.

De principiële geheimhoudingsverplichting is ook niet van toepassing wanneer mededeling van de persoonsgegevens door of krachtens een wet wordt opgelegd of ingevolge rechterlijk bevel. Elke wettelijk of gerechtelijke verplichte mededeling van de persoonsgegevens, die het voorwerp zijn van deze voorwaarden aan derden moet door de verwerker, indien mogelijk, vooraf ter kennis worden gebracht aan de verwerkingsverantwoordelijke.

Artikel 6: Gebruik sub-verwerkers

De verwerkingsverantwoordelijke aanvaardt dat de verwerker een beroep doet op sub-verwerkers. Verwerker werkt heden met de volgende sub-verwerkers:

• DIVE bvba – Xxxxxxxxxxxxxxxxx 00 – 0000 Xxxx

, dewelke door de verwerkingsverantwoordelijke zijn aanvaard.

Verwerker zal de verwerkingsverantwoordelijke inlichten over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

De sub-verwerkers zullen aan verwerker de nodige garanties geven met betrekking tot de naleving van de toepasselijke privacywetgeving.

Verwerker blijft steeds het aanspreekpunt. Verwerker erkent dus dat wanneer een sub-verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, zij ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk blijft voor het nakomen van de verplichtingen.

Artikel 7: Beveiliging

De verwerkingsverantwoordelijke en de verwerker treffen beiden passende technische en organisatorische maatregelen, o.a. rekening houdende met de stand van de techniek en de kosten van tenuitvoerlegging, om een passend beveiligingsniveau te waarborgen gelet op de redelijkerwijs te verwachten risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

In het bijzonder zal de verwerker de persoonsgegevens beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Enkele voorbeelden van maatregelen die de verwerker neemt worden beschreven in bijlage 1 bij deze verwerkingsvoorwaarden en worden door de verwerkingsverantwoordelijke als passend en adequaat beschouwd. De verwerker verbindt er zich toe om de verwerkingsverantwoordelijke in te lichten in geval van nieuwe of gewijzigde technische en organisatorische maatregelen. De verwerkingsverantwoordelijke zal de verwerker schriftelijk informeren indien de maatregelen naar zijn mening niet meer volstaan. De verwerker zal alsdan binnen een redelijke termijn de nodige maatregelen treffen.

Artikel 8: Toegangsbeperking en voorlichting

De verwerker zal ervoor zorgen dat de plaatsen waar ten behoeve van de verwerkingsverantwoordelijke voor de verwerking persoonsgegevens worden verwerkt, niet toegankelijk zijn voor onbevoegden. Daartoe zal zij onder meer de nodige organisatorische maatregelen nemen.

De verwerker zal de toegang tot de verwerkte persoonsgegevens beperken tot die personen die de gegevens nodig hebben om de taken uit te oefenen die de verwerker hen in uitvoering van de overeenkomst tussen partijen toewijst. De verwerker verbindt er zich toe om de personen die overeenkomstig deze verwerkingsvoorwaarden toegang hebben tot de gegevens, in kennis te stellen van de toepasselijke wettelijke bepalingen.

De verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Artikel 9: Controle door de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke heeft op elk ogenblik het recht om de naleving van deze verwerkingsvoorwaarden te controleren. Op eenvoudig verzoek van de verwerkingsverantwoordelijke is de verwerker ertoe gehouden alle informatie ter beschikking te stellen die nodig is om de nakoming van de neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen.

Artikel 10: Verplichting na beëindiging van de verwerking van persoonsgegevens

De partijen komen overeen dat de verwerker na beëindiging van de verlening van gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de verwerkingsverantwoordelijke terugbezorgt of, indien de verwerkingsverantwoordelijke dit verkiest, alle persoonsgegevens vernietigt en aan de verwerkingsverantwoordelijke verklaart dat de vernietiging heeft plaatsgevonden, tenzij de op de verwerker toepasselijke wetgeving haar verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens veilig terug te bezorgen of te vernietigen. In dat geval garandeert de verwerker dat zij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal respecteren en dat zij de doorgegeven persoonsgegevens niet actief zal verwerken.

Artikel 11: Bijstand

Verwerker zal, voor zover mogelijk, bijstand verlenen aan de verwerkingsverantwoordelijke bij diens plicht ten aanzien van verzoeken van betrokkenen.

Verwerker zal, rekening houdende met de aard van de verwerking en de aan haar ter beschikking staande informatie, ook bijstand verlenen met betrekking tot de verplichtingen aangaande beveiliging, melding van een inbreuk (zie dienaangaande ook het artikel 12 hierna), gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging.

Verwerker zal verwerkingsverantwoordelijke inlichten van de verzoeken van betrokkene aan haar adres.

Artikel 12: Meldplicht datalekken

Verwerker is verplicht om zonder onredelijke vertraging nadat verwerker een inbreuk op de beveiliging heeft geconstateerd, verwerkingsverantwoordelijke hiervan schriftelijk in kennis te stellen.

De kennisgeving bevat in ieder geval:

- De aard en omvang van de inbreuk op de beveiliging en waar mogelijk de categorieën en aantallen van betrokkenen in kwestie, persoonsgegevensregister in kwestie en, bij benadering het aantal betrokkenen en persoonsgegevensregisters in kwestie;

- Een contactpunt waar informatie kan worden verkregen;

- De waarschijnlijke gevolgen van de inbreuk op de beveiliging;

- De maatregelen die de verwerker heeft getroffen of voorstelt te treffen om de (negatieve) gevolgen van de inbreuk te beperken en te verhelpen.

Verwerker verbindt er zich toe om bij een eventuele inbreuk op de beveiliging maatregelen te nemen om de mogelijke schade die hieruit voortvloeit of kan vloeien te beperken.

In geval van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, zal de eventuele melding daarvan bij de Gegevensbeschermingsautoriteit en/of aan de betrokkenen zelf ten allen tijde naar het oordeel van, op initiatief van en door verwerkingsverantwoordelijke plaatsvinden.

Verwerker documenteert alle inbreuken op de beveiliging in verband met de persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, de gevolgen daarvan en de genomen maatregelen. Verwerker bewaart de registratie van voornoemde inbreuken voor een periode van 3 jaar nadat de inbreuk heeft plaatsgevonden.

Artikel 13: Algemene bepalingen

a. Duur en beëindiging

Deze verwerkingsvoorwaarden zullen automatisch van rechtswege vervallen wanneer de licentieovereenkomst tussen partijen om welke reden ook is geëindigd.

b. Aansprakelijkheid

Indien INFODI tekortschiet in de nakoming van haar verplichtingen uit deze verwerkingsvoorwaarden dient de klant haar in gebreke te stellen. De ingebrekestelling geschiedt schriftelijk, waarbij INFODI een redelijke termijn krijgt om alsnog haar verplichtingen na te komen, tenzij de gebreken niet verholpen kunnen worden.

De aansprakelijkheid van INFODI, contractueel en extracontractueel, is beperkt tot het jaarlijkse factuurbedrag ingeval van een jaarlijkse licentie en de reeds betaalde licentievergoedingen ingeval van 3-maandelijkse licenties (beperkt tot 12 maanden).

De beperking van de aansprakelijkheid is niet van toepassing wanneer de aansprakelijkheid een gevolg is van een fout gepleegd met bedrieglijk opzet of met het oogmerk om te schaden.

Onverminderd dwingende wettelijke bepalingen of bepalingen van openbare orde, moet elke vordering ten overstaan van INFODI op straffe van verval onverwijld in rechte worden

ingesteld. Onverminderd dwingende wettelijke bepalingen of bepalingen van openbare orde, vervalt elke aanspraak ten aanzien van INFODI in elk geval indien de vordering in rechte niet is ingesteld binnen het jaar nadat de omstandigheid die aanleiding geeft of kan geven tot aansprakelijkheid ontdekt wordt, of redelijkerwijs kon ontdekt worden. Onverminderd kortere termijnen ingevolge de wet of deze voorwaarden en onverminderd dwingende wettelijke bepalingen of bepalingen van openbare orde, verjaren in elk geval alle vorderingen tegen INFODI twee (2) jaar na de beëindiging van de licentieovereenkomst.

Behoudens andersluidende dwingende wettelijke bepaling, zal INFODI in geen geval verplicht worden tot het vergoeden van schade ingevolge een verlies van baten, goodwill, handelsopportuniteiten of verwachte voordelen of besparingen, noch tot het vergoeden van (andere) onrechtstreekse of gevolgschade zoals maar niet beperkt tot schade aan derden. Ook schade in verband met de door de klant aan INFODI voorgeschreven toeleveranciers, materialen of programmatuur is uitgesloten. De klant zal INFODI vrijwaren tegen vorderingen van derden in verband met of voortvloeiende uit de opdracht.

Indien zou blijken dat twee of meer schadegevallen voortvloeien uit een en dezelfde fout, worden zij beschouwd als eenzelfde schadegeval en wordt de schade aldus beperkt tot het hoogste bedrag van de bedragen die van toepassing zijn op de betrokken opdrachten.

Indien INFODI wordt aangesproken ingevolge een fout of nalatigheid van INFODI en een derde en/of de klant, zal INFODI ten hoogste aangesproken kunnen worden voor de schade die rechtstreeks is veroorzaakt door de fout of nalatigheid van INFODI zonder hoofdelijk of in solidum gehouden te zijn met die derde en/of de klant. Indien de klant de aansprakelijkheid van INFODI in het gedrang brengt, dient die alle nodige maatregelen te nemen om INFODI te vrijwaren voor elke schade die zij hiervoor kan oplopen.

Verwerker heeft geen zicht op de gegevens die verwerkingsverantwoordelijke deelt vanuit het platform met zijn klanten, met name in e-coaching berichten, documenten, foto’s, video’s, ..., waardoor INFODI dus ook niet aansprakelijk kan gesteld worden voor inbreuken op de privacy- wetgeving met betrekking tot deze gedeelde gegevens.

c. Bijlagen

De bijlagen bij deze verwerkingsvoorwaarden vormen een integraal en onlosmakelijk onderdeel van de overeenkomst.

d. Wijzigingen

Wijzigingen aan deze voorwaarden of aanvullingen daarop zijn slechts rechtsgeldig voor zover deze schriftelijk tussen partijen zijn overeengekomen.

e. Nietigheid

De eventuele nietigheid van een of meerdere van de bepalingen van deze algemene voorwaarden doet geen afbreuk aan de toepasselijkheid van alle andere clausules. In geval van nietigheid van een of meerdere bepalingen, zullen de klant en INFODI, in de mate van het mogelijke volgens hun overtuiging, onderhandelen om de nietige bepaling(en) te vervangen door (een) equivalente bepaling(en) die beantwoord(t)(en) aan de algemene geest van deze algemene bepalingen.

f. Toepasselijk recht

Het Belgische recht is van toepassing op deze verwerkingsvoorwaarden.

g. Geschillen

Alle geschillen worden bij voorkeur in der minne geregeld. Indien dit onmogelijk blijkt, behoren alle geschillen voortvloeiende uit deze verwerkingsvoorwaaden tussen INFODI en de klant tot de uitsluitende bevoegdheid van de rechtbank van het arrondissement waar INFODI haar vestigingsadres heeft.

Bijlage: Gepaste organisatorische en technische maatregelen

Bijlage: Gepaste organisatorische en technische maatregelen

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

De verwerker treft onder andere de volgende maatregelen:

• Alle gegevens worden bijgehouden in een database die beveiligd is. Enkel geautoriseerde personen kunnen de database raadplegen.

• Database encryptie.

• Backups van database worden ook geëncrypteerd bijgehouden.

• Wie en wanneer de laatste wijzigingen heeft uitgevoerd, wordt bijgehouden.

• Inloggen in de webapp kan enkel na authenticatie.

• Alle communicatie tussen de browser en de webapp gebeurt via het https-protocol (secure http). Dit wil zeggen dat alle communicatie geëncrypteerd verstuurd wordt.

• Enkel bevoegde personen krijgen, indien nodig voor uitvoering van deze licentie-overeenkomst of om aan een vraag van verwerkingsverantwoordelijke te voldoen, toegang tot de webapp en/of database. Authenticatie-gegevens mogen niet doorgegeven worden. Indien niet meer nodig, wordt de toegang terug afgenomen.